Responsabilités d'Atlassian en cas d'incident de sécurité
Introduction
Comme tout fournisseur de services cloud qui se respecte, nous faisons de notre mieux pour nous assurer que nos clients ne rencontrent pas de panne ou d'incident de sécurité. Cependant, nous sommes conscients qu'un incident de sécurité est tout à fait possible. Pour nous, il est essentiel que les clients comprennent leur intégration dans notre processus de réponse aux incidents de sécurité et leurs responsabilités au cours d'un incident. Nous prévoyons le pire scénario, donc s'il se produit, nous sommes prêts et nous ne baratinons pas notre client.
Nous nous efforçons de gérer l'intégralité des incidents de sécurité affectant nos services et notre infrastructure. Nous prendrons les mesures nécessaires, de la détection de violations à leur maîtrise, voire à leur divulgation. Mais nous n'avons pas l'œil partout. Nous avons parfois besoin d'un coup de main de nos clients pour signaler un incident, ou encore d'un consultant externe pour mettre à profit des compétences d'enquête ou judiciaires spécialisées.
Rôles
Nous avons examiné et utilisé un certain nombre de modèles de gestion des incidents de sécurité pour nous assurer que nos processus de réponse aux incidents sont à la fois complets et de premier ordre. Nous avons extrait les principales activités de ces modèles et décrit la responsabilité de chacun.
Partie prenante | Rôle | Description |
|---|---|---|
| Atlassian | Rôle Coordinateur de la réponse aux incidents de sécurité | Description Pour chaque incident de sécurité, un coordinateur de notre équipe Atlassian chargée de la sécurité est responsable de prendre les décisions de sécurité, de superviser le processus et de répartir les tâches. |
| Atlassian | Rôle Analyste des incidents de sécurité | Description Les analystes de sécurité s'occupent de la majorité des enquêtes et des analyses sur les incidents. Pour les incidents mineurs, c'est souvent le coordinateur de la réponse aux incidents de sécurité qui s'en charge. |
| Atlassian | Rôle Responsable de la communication avec les clients | Description Un responsable de la communication avec les clients est affecté à chaque incident afin de prendre des décisions quant à la manière dont les clients doivent être impliqués. En général, cette personne assure également la majeure partie de la communication avec les clients. |
| Atlassian | Rôle Red Team | Description La Red Team d'Atlassian reproduit des attaques informatiques réelles et exécute des scénarios de test définis conçus pour évaluer nos capacités de détection et de réponse et pour identifier des pistes d'amélioration. |
| Atlassian | Rôle Conseiller de support | Description Les équipes de gestion des incidents de sécurité Atlassian sollicitent les conseils de divers experts internes dans différents domaines (par exemple, juridique, confidentialité, risques, ressources humaines, et bien plus). Ces conseillers dispensent des conseils spécialisés sur des questions qui ont un impact sur leurs domaines d'expertise. |
| Conseils en sécurité | Rôle Conseiller | Description Atlassian recourt aux services d'un conseiller spécialisé en cybersécurité en cas d'incident. En général, les services de conseils permettent de fournir des ressources supplémentaires en cas de pénurie, des compétences spécialisées si elles ne sont pas disponibles en interne, ainsi que des conseils indépendants et un examen des incidents. |
| Client | Rôle Rapporteur | Description Nous encourageons les clients à signaler tout accès non autorisé ou comportement malveillant aux actifs Atlassian. |
| Client | Rôle Contact de sécurité | Description Si un incident affectant un client est confirmé, le contact de sécurité de ce dernier sera informé. Le contact de sécurité est généralement le contact technique du compte, mais peut changer si le client dispose d'une équipe de sécurité dédiée Le contact de sécurité s'assure que le client gère correctement l'incident en dehors du périmètre des actifs Atlassian |
Responsabilités
Nous définissons nos responsabilités en matière de gestion des incidents de sécurité à l'aide du modèle RACI. Bien que nous nous efforcions de remplir nos responsabilités définies, les clients sont finalement responsables de la sécurité de leurs données conformément au Contrat client Atlassian.
- Responsible (En charge) : la partie accomplira la tâche.
- Accountable (Responsable) : la partie est en fin de compte responsable de la réalisation adéquate et complète de l'activité.
- Consulted (Consulté) : la partie dont les opinions sont sollicitées et avec laquelle il existe une communication bilatérale.
- Informed (Informé) : la partie qui est tenue informée de l'avancement et avec qui il n'existe qu'une communication à sens unique.
Activité | Atlassian | Client |
|---|---|---|
| Détection | Atlassian Personne réalisatrice | Customer
|
| TRIAGE | Atlassian Personne réalisatrice | Customer
|
| Enquête | Atlassian Personne réalisatrice | Customer
|
| Confinement | Atlassian Personne réalisatrice | Customer
|
| Éradication | Atlassian Personne réalisatrice | Client Informé |
| Récupération | Atlassian Personne réalisatrice | Client Informé |
| Notification (au client) | Atlassian Personne réalisatrice | Client Informé |
| Notification (à Atlassian) | Atlassian Informé | Client Personne réalisatrice |
| Amélioration | Atlassian Personne réalisatrice | Customer
|
| Tests | Atlassian Personne réalisatrice | Customer
|
| Reporting externe (application de la loi et conformité) | Atlassian Responsable, En charge | Client Informé |
| Publication de données agrégées | Atlassian Personne réalisatrice | Client Informé |